Spamschleuder trotz SMTP-Auth / Spamdyke

JanJ

New Member
Hallo,

ich habe einen Server mit Debian 4, Plesk 9, dem aktuellen Spamdyke auf Qmail nebst SCP.

Wenn ich also eine Mail verschicken will, muss ich mich mit gültigen Zugangsdaten am SMTP Server anmelden, ansonsten geht nix.

Gestern habe ich beobachtet, dass trotz aktiviertem SMTP-Auth es scheinbar gelingt, dass jemand von extern mit einem admin Account, den ich nicht angelegt habe, schon gar nicht für Mails, sich autorisieren kann und munter mailen kann.

Im Maillog steht dann drin, dass auth=admin ist, worauf die Mail munter akzeptiert wird.

Wie kann das sein?

Viele Grüße,

Jan
 
Vielleicht ein unsicheres Default-Passwort? Auf jeden Fall solltest Du sofort den Maildienst stoppen (oder am besten gleich im Rescue-Modus booten) und Dich um das Problem kümmern, d.h. weitere Nachforschungen anstellen, wie es dazu kommen konnte, was sonst noch kompromittiert wurde (... der Name "admin" lässt nichts Gutes erwarten). Gegebenenfalls solltest Du über eine Neuinstallation nachdenken.
 
Hallo,

das default Password war eines nach Schema "YaGk3t9H9_xo1qT8sVNe" ... Da halt ich knacken für eher unwahrscheinlich, ein Skript war es definitiv auch nicht, da habe ich alle logs gecheckt.

Ein Zugriff via SSH, um dann irgendwas zu installieren ist den Logs zufolge auch nicht erfolgt, im Übrigen hätte da zunächst der Port, dann der Username und schlußendlich auch der passende Key vorhanden sein müssen.

Den Mail-Service habe ich selbstverständlich umgehend deaktiviert, aber den Fehler trotz Logrecherche nicht eingrenzen können. Fest steht jedenfalls, dass aus irgendeinem Grund ein User "admin", obwohl für Mails nicht angelegt, akzeptiert wurde.

An sich sollten nur die vorhandenen User nach Schema "[email protected]" akzeptiert werden, so sie sich denn mit gültigem Passwort anmelden.

Auch ein ändern der Passwörter brachte keinen Erfolg, sodass ich das System neuaufgesetzt habe. Dennoch bleibt ein fader Beigeschmack, wenn man die Lücke nicht finden konnte.

Vielen Dank,

Jan
 
Du hast die Daten vor Dir, interpretierst diese mit Deinem Halbwissen und präsentierst uns Dein Ergebnis.
Und wir "Profis" sollen aus Deiner Interpretation auf die Fakten schließen und dann sagen was nicht stimmt?
Funktioniert aber nicht!

Also bleibt der alte Werbespruch: "Fakten Fakten Fakten!"

huschi.
 
Hi,

der user 'admin' ist nicht angelegt worden? Der existiert von Natur aus, da Du ein Plesksystem hast. Da der von lokal direkt Mails in die Queue schieben kann, braucht der sich auch nicht zu authentifizieren.
Und nun schließe ich mich huschi an... Fakten her ;)

-W
 
Danke fürs Wachrütteln :)

Ja, Halbwissen kann man sicher sagen. Ein Fehler ist, ich hab die Logs nicht lokal gesichert, passiert mir nicht wieder. Zweiter Fehler ist, ich hab es nicht präzise ausgedrückt.

Neuer Versuch:

Konfiguration: Debian 4, Qmail mit SMTP-Auth, Plesk 9, Spamdyke

Einstellung: Anmeldung am SMTP nur mit eMail-Adresse Schema [email protected] und Passwort (Einstellung in Plesk), SMTP-Auth in /etc/xinetd.d/smpt_psa und smtps_psa bei server_args entsprechend direkt hinter -Rt0 gesetzt.

Spamdyke: Installiert und auch dort wie folgt SMTP-Auth gesetzt - smtp-auth-command=/var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /bin/true
smtp-auth-level=ondemand-encrypted

Relaylock: ist auch konfiguriert und aktiv

Wenn ich also versuche, eine Mail zu senden, ohne dass ich mich am SMTP-Server anmeldet, klappt dies nicht. Nehme ich "Fantasieaccounts" klappt dies nicht, falsche Passwörter werden auch abgelehnt.

Das admin-Passwort in Plesk (ebenso wie das root-Passwort) sind nach Schema "YaGk3t9H9_xo1qT8sVNe".

Dennoch gab es in etwa folgende Einträge im Maillog:

Feb 28 15:05:05 smtp_auth: SMTP connect from irgendwas.spammer.cn [xx.xx.xx.xx]
Feb 28 15:05:05 smtp_auth: SMTP user admin@: logged in from irgendwas.spammer.cn [xx.xx.xx.xx]

Und dann wurde munter gesendet.

So, viel geschrieben, hoffentlich wird es nun klarer.

Viele Grüße,

Jan
 
Feb 28 15:05:05 smtp_auth: SMTP connect from irgendwas.spammer.cn [xx.xx.xx.xx]

Steht hier eine externe IP?
Schon einmal mittels "top", "htop" & "netstat" "ps aux" auf die Suche nach einen internen, verdächtigen Script/Prozess gegangen? Wenn da was lokal läuft, dann braucht es Resourcen.

Ändere doch einmal Deine Passwörter. ;) Man muss diese nicht unbedingt knacken. Oft liefern Keylogger PW über eingefangene Trojaner auf dem heimischen Fernwartungs-HomePC.
 
Last edited by a moderator:
Hallo,

ja, dort standen nur externe IPs, ausnahmslos.

Lokal liefen keine verdächtigen Prozesse, lediglich eine Masse von smtpd Prozessen.

Der Hinweis mit dem Keylogger ist eine gute Idee gewesen, ich habe meinen heimischen Rechner mit mehreren Tools gecheckt, es wurde nichts gefunden.

Grüße,

Jan
 
Der Email-Account "admin" ist nicht identisch mit dem Plesk-User oder MySQL-User "admin"!!!
Der User kann von jedem Kunden/Domain-Account aus angelegt worden sein.
Um ihn zu lokalisieren kann man z.B. folgendes machen:
Code:
mysqldump -c --skip-extended-insert -uadmin -p`cat /etc/psa/.psa.shadow` psa mail | grep admin
Es kommen also mehrere Accounts in Frage, die geknackt worden sein können:
- Der Plesk-User "admin".
- Der entsprechende Plesk-Kunde.
- Der entsprechende Domain-User
- Der Email-Account "admin".

Ich tippe auf Letzteres per Bruteforce, weil der Kunde/Domain-Besitzer ein schwaches Passwort vergeben hat.

huschi.
 
Hallo Huschi,

vielen Dank für die ausführliche Info.

Der einzige Benutzer des Servers zu dem Zeitpunkt war ich, ich hab auch alle vorhandenen eMail-Accounts angelegt und keiner hieß "admin", bei keiner Domain.

Bleiben also die anderen von dir aufgeführten Möglichkeiten. Den Plesk-User admin vermute ich aufgrund des Passwortes eher nicht. Was genau meinst du mit:
- Der entsprechende Plesk-Kunde.
- Der entsprechende Domain-User

Und der MySQL User admin wird automatisch von Plesk angelegt und hat ein anderes Passwort?

Vielen Dank,

Jan
 
Ich habe eine Befehlszeile geschrieben, wie Du heraus bekommst, ob und welchen Admin-Email-User es gibt.
Solche Fakten bitte immer zuerst klären!

huschi.
 
MOD: Full-Quote entfernt!
Das Ergebnis der Abfrage ist - nix ... Keine Anzeige, kein Account vorhanden.
 
Last edited by a moderator:
Hallo Huschi,

die Datei existiert nicht.

Ich finde in den Logs weiterhin ähnliche EInträge wie diese:

Code:
Mar  3 17:43:15 xx.xx.xx smtp_auth: SMTP connect from (null)@(null) [123.14.128.116]
Mar  3 17:43:15 xx.xx.xx smtp_auth: smtp_auth: FAILED: admin - password incorrect from (null)@(null) [123.14.128.116]

Aber von welchem User admin wird da ein Passwort versucht?
 
Code:
Mar  3 17:43:15 xx.xx.xx smtp_auth: SMTP connect from (null)@(null) [123.14.128.116]
Mar  3 17:43:15 xx.xx.xx smtp_auth: smtp_auth: FAILED: admin - password incorrect from (null)@(null) [123.14.128.116]

Aber von welchem User admin wird da ein Passwort versucht?

Also diese Einträge sind richtig, auch wenn der User nicht existiert. Nur so als Hinweis.

Aber irgendwann muss er mal existiert haben, nur seltsam das er nirgends zu finden ist. Exisitert denn ein entsprechender Ordner von dem Admin unter /var/qmail/mailnames?
 
MOD: Full-Quote entfernt!
Okay, danke für diesen wertvollen Hinweis. Das hilft mir weiter.

Kein Ordner in Sicht.

Ich habe jetzt alles neu aufgesetzt und das "Problem" ist damit natürlich weg. Vielleicht wars doch ein irgendwie geknacktes Passwort ...
 
Last edited by a moderator:
Back
Top